Cisco ASA 三~四层模块化策略框架（cisco思科官网）

Cisco ASA 三~四层模块化策略框架（cisco思科官网）

网络访问控制列表

ACL主要功能如下：

ACL主要是基于五元组（源目的IP、源目的端口、协议）做perimit和deny。但是对于其他策略，例如最大连接数等无法管理，所以需要引入模块化策略

思科模块化策略框架

MQC 分3步 ：

①抓取兴趣流量， class-map 来抓， 可以匹配acl 或者前缀列表，其他

②policy-map定义行为， 匹配分类

③service -policy 调用

Class-Map

主要功能：

class-map配置参数

#1、创建class-mapclass-map Class_1#2、关联参数match ？ #具体参数如下

路由器和防火墙的class-map

class-map all是必须所有条件满足才触发（全true）、class-map any是满足一条即可触发（与或）

Match-all和Match-any

关于Class-Map多重组合

组合一：对列表所抓取的流量。执行默认序列中所有监控协议的检查

match default-inspection-traffic + match access-list

组合二：除match any 、match access-list、match default-inspection-traffic

match tunnel group

Policy-Map

主要功能：

policy-map配置参数

#1、创建Policy-Mappolicy-map Policy_1#2、关联Class-Mapclass Class_1#3、配置执行的动作功能如下图

Policy-Map部署注意事项

一个policy-map可以包含多个class-map策略（理解为交警部门可以执行多个动作：查酒驾、查证件、查事故）一个策略包含一个class-map和它所关联的行为在一个policy-map中，一个行为类型一个数据包只匹配一个calss-map状态化处理的数据包仅仅只匹配上第一个策略每个接口只允许存在一个policy-map，全局也只均匀存在衣蛾policy-map

Service-Policy

主要功能：

Service-Policy配置参数

#1、应用于接口service-policy Policy_1 interface Outside#2、应用于全局（系统默认）service-policy Policy_1 global

接口和全局的区别

模块化应用场景

1、网管流量限制

基于telnet和ssh流量限制最大连接数

2、ICMP与ESP协议监控

监控ICMP，确保返回流量吮吸穿越ASA监控ESP，配置IPSec-pass-through确保VPN建立成功

3、TCP会话监控

如果TCP连接关闭或者闲置超时，会话正常情况下会从状态化表项中删除，利用会话监控计时器调整死亡时间

TCP协议的半开连接和半关连接，监控这个表项的连接数可以有效防御DOS

4、BGP穿越

处理BGP穿越防火墙邻居建立失败问题

5、状态化旁路

针对异步路由，实现状态化旁路

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。